у вас задача то как стоит ?

Нуу я не знаю ещё хороших флоу на эту тему. По факту мне нужна авторизация с горой скоупов для доступа к ресурсам, но я что то скептично отношусь к такому жирному токену...

Задача, в распределенной системе сделать аутентификацию которая будет масштабироваться "как угодно", и управляется из админки🤔

ну сделайте скоупы по разделам, заказы, статистика и хз что там у вас
а каждый раздел уже будет смотреть на токен и по абак решать что там куда можно

но это так, пальцем в небо

Тогда у нас получается пачка абаков не управляемая. Разве нет?

почему? у вас же уже есть абак на каждого пользователя, он уже работает

oauth2 токен у вас это просто идентификатор пользователя с "урезанными правами"

Так, давайте по порядку. Абак, и скоуп предоставляемых сервисам которые хотят получить доступ это разные вещи. Я все правильно понимаю?

да, разные

Ну тоесть сервису смотреть ордеры можно, а конкретному пользователю нельзя

Найс 👍

погодите, я совсем запутался

сервис ваш или 3-й стороны ? вы кому токены предоставлять собрались ?

Теперь как я это вижу, у нас сервис аутентификации выдаёт и доступы для сервисов, и информацию о пользователе на основе которой конкретный сервис, позволит что то сделать. Всё правильно? Или вы говорите, что абак должен висеть на каждом сервисе, и внутри него хранится вся внутрянка по правам?

oauth2 предоставляет третьей стороне идентификатор пользователя на определенные действия в своей системе
принцип работы тут: разрешено только то что разрешено, остальное запрещено
поэтому у вас 3-я сторона не может "смотреть сервисы" просто так по дефолту

Токены планируется предоставлять всем кто их захочет. И нашим сервисам, и внешним системам

ну вот пусть сервисы и работают по этим токенам
если это сервис заказов, значит он будет работать с заказами доступными пользователю этого токена
и только

а какие именно заказы доступны этому пользователю решает уже сервис который собственно эти заказы хранит на основании идентификатора пользователя по своему абаку

Да но тут накладочка. Я какраз и пытаюсь её уточнить. В моем понимание абак это что то вроде
Company:MFC
Position:GeneralManager
City:Moscow

Я предполагаю что данные утверждения получат доступ ко всем ордерам в регионе Москвы созданные компанией MFC

Это нам придоставит централизованный abac

Есть по который помогает красиво фильтровать заказы, оно аутентифицируется у нас и ему выдаётся список прав например
read:orders (конкретный scope)

Тогда получается что понятие прав доступа разное тоесть предоставить права на чтения ордеров приложению
!= что конечный пользователь сможет их увидеть. Это разные истории